Uçnokta (endpoint) güvenliğinde 2 yaklaşım: Loglama vs. EDR

Giriş

Günümüz gelişmiş zararlılarına karşı network güvenliği kadar uçnokta (endpoint) güvenliği de vazgeçilmez bir hal almıştır. Özellikle son zamanlarda revaçta olan Powershell saldırıları, kendilerini farklı yöntemlerle (fileless, packing, encoding vs.) gizleyebilen diğer zararlılar geleneksel ağ güvenliği cihazlarını atlatarak basit phishing saldırılarıyla bile sistemlere zarar verebilmektedir.

Bu noktada akıllara meşhur "zararlı saklanabilir fakat (sistemde) çalışmak zorundadır" (Malware can hide, but it must run) deyişi gelmekte.

Peki biz bu noktada geleneksel sınır güvenliği (perimeter security) cihazlarını ve endpoint prevention (anti-malware, AV vs.) atlatabilen ve sistemlere ulaşan bir zararlıyı endpoint üzerinde nasıl (en-erken) yakalayıp ona doğru ve zamanında müdahale edebiliriz?

Burada en genel anlamda 2 temel yaklaşım var; endpoint loglama ve EDR

Endpoint Loglama

En genel anlamda Windows sistemlere Sysmon kurup, doğru konfigüre ederek merkezi bir log sunucuya göndermekle gerçeleştirilebilen yöntemdir. En önemli zorluğu sistemleri yormamak adına logdaki 'gürültüyü' azaltmaktır. Bunu, görece hazır (pre-cooked) bir config file'a (Google: "SwiftOnSecurity Sysmon config") gold image'ınızdaki custom uygulamaları ekleyerek hızlıca yapabilirsiniz. Sonrası ise işin merkezi loglama tarafıdır. WEF ile Windows sistemlerimizden merkezi olarak ajansız toplayacağınız logları NXLog yada WinLogBeat gibi uygulamalarla kuracağız bir ELK cluster'a gönderebilirsiniz. (Yoğunluğa göre load-balancer/message-broker kullanabilirsiniz; Kafka, HAProxy vs.)

Powershell'i V5'e yükselterek loglarını almak, yada Sysmon yerine Process Create (4688) loglarını açmak da işe yaracaktır.

Örnek bir ELK+Sysmon kurulum ve kullanım senaryosu

"Neyi izlememiz gerekiyor" için rehber

Örnek içerikler

WEF kullanımı hakkında doyurucu bir içerik

EDR

Uçnokta koruma (prevention) ürünlerinin çeşitli sebeplerle kaçırabildiği zararlıları sisteme ait tüm davranışı kaydederek/loglayarak 'tespit etmeye' çalışan ve tespit durumunda 'müdahalede' de bulundurarak problemi yayılmadan önleyen ürün ailesidir. Carbonblack Response, Cisco AMP, Cylance, Fireeye HX, Crowdstrike, Tanium, Microsoft ATP ürünleri bazı bilindik örneklerdir.

Temel olarak 2 farklı mimariyle çalışırlar. Pooling ve live search. Pooling ile çalışan ürünler sisteme ait verileri periyodik olarak merkeze gönderir, ihtiyaç halinde live müdahale de yapabilir bu ürünlerden bazıları. Live search (canlı sorgu) mantığıyla çalışan ürünler ise sorguyu anlık olarak tüm sistemlerde aratırlar. Anormal bir davranışı sorgularla tespit edebilirler. Bununla birlikte ürünler bu anlamda hibritleşmeye de başlamıştır. (Anormal durum olmadıkça üzerinde tut veriyi, sorgu gelirse hazır veriden ver, eğer daha detaylı bir data isteniyorsa (bir MD5 hash sorgusu örneğin) canlı arama yap vb. gibi)

Kıyas

Uçnokta güvenliği adına bu iki metodu kıyaslayacak olursak;

Kurulum: Loglama konusunda kurulum EDR'a göre biraz daha zordur. Sysmon'un kurulması, WEF ile eventloglarının toplanması, doğru bir mimari içerisinde SIEM'e/data-lake'e aktarılması (filtreleme, load balancing vb) EDR'da ise tüm bu işlemler sizin yerinize önceden düşünülmüş ve tek bir ajanın kurulması kadar kolaydır (herhangi bir prevention feature'ı kullanmıyorsanız tabi, yoksa tuning'i uğraştırabilir) Tabii yine de sunuculara kurarken CPU/RAM/network kullanımını kontrol ediyor olmalısınız. (Binlerce kullanıcınızın kullandığı Exchange sunucusuna ait servislerin hafıza alanlarını sürekli taratmak mail akışını sekteye uğratabilir vs.)

Kullanım: Log toplamak kadar onu nasıl işleyeceğini bilmek de önemlidir. Örneğin bir EDR ürünü size doğrudan bir process injection'u neredeyse sıfır false positive oranıyla verebilecekken sizin bu tespitleri loglarla kendinizin yapması gerekir (Sysmon için hazır sorgular var ama yine de ne yaptığını bilen bir ekip gerekli. Burada arzu ederseniz Sigma gibi hazır içerikleri kullanabilirsiniz.)

Maliyet: EDR ürünleri pahalı ürünler. Loglama ürünlerinden ELK+Sysmon ikilisi ise tamamen ücretsiz. WEF de yine ücretsiz bir ürün. Bununla beraber EDR ürünleri uzaktan olay müdahale yapmanıza da imkan veren ürünler genelde (makineyi ağdan izole et, forensics kanıtlarını topla, live response ile kilometrelerce uzaktaki makinede kök neden araştır vs..) Bu da olay müdahale (IR) maliyetlerinizi düşürecektir.

Çok vaktim ve kaynağım var. Neden ikisini beraber yapmayayım?

En güzeli bu tabii ki. Fakat en azından temel bir olgunluğa erişmek için ikisinden birini bir an önce seçip uçnoktalarınızda görünürlük sağlamanızı ve mevcut SIEM'inizdeki kurallarınıza ve olay müdahale süreçlerinize bu anlamda besleme yapmanızı öneririm.

Hızlıca yazdığım bir yazı oldu. Sık sık eklemeler/düzenlemeler yaparak güncellemeye çalışacağım. EDR ürünleri özelinde çoğunu bizzat inceleme fırsatı bulduğum ürünler için incelemeler de yazmayı planlıyorum. Her türlü soru/görüş/öneri için iletişim bilgilerim Hakkımda bölümünde mevcut. Şimdilik kolaylıklar.

Furkan ÇALIŞKAN

Read more posts by this author.